建立内部证书颁发机构(主要是 Windows 2003 CA)的利弊是什么?我们需要对拥有 20 多个证书的项目的服务器到服务器流量进行加密。我们可以从 Verisign 购买证书,但我认为内部 CA 可能是更好的长期解决方案。所以我希望社区提供一份利弊清单,说明通过托管我们自己的 CA 可能会获得(或失去)什么?提前感谢您的帮助。
答案1
如果您拥有自己的 CA,则它仅在安装了 CA 根证书的站点/计算机中有效。换句话说,仅仅因为您拥有自己的 CA 并不意味着您的证书会受到陌生人的信任。
如果您的所有服务器都在内部,并且由内部软件访问,那么您自己的 CA 就是您的最佳选择。您可以通过 GPO 部署 CA 的根证书(如果您在域中,则将 CA 角色安装到服务器中应该会自动执行此操作),然后您域中的每台计算机都会自动信任它。
但是,如果您的软件是公开访问的(听起来不像),那么另一端的软件很可能会发出证书警告,表明它不信任您的发布。在这种情况下,您唯一的选择是从受信任的发布者那里购买 SSL 证书(如果您不需要他们的保险政策,那么有很多地方比 Verisign 便宜得多)。
答案2
内部 CA 仅在您拥有的服务器内部有效,而外部证书在任何地方都有效。这是基本答案,但还有很多需要考虑的因素。
优点
成本——生成的证书越多,每个证书的成本就越便宜
撤销 - 撤销您生成的证书非常容易,并且您可以为证书设置较短的有效期
获得免费证书通常意味着使用率更高——通常人们会开始签署他们的电子邮件,而管理员会考虑在混合环境中使用域和服务器隔离
缺点
额外的安全要求 - 这台机器的安全可能比域控制器更重要。该系统需要完全强化。如果您将这些证书用于任何有意义的事情,您需要考虑如果这些证书被泄露会产生什么影响
备份/高可用性——没有什么比人力资源部门告诉你,你现在已经失效的 CA 给了他们一个他们用来加密工资单文件的证书,但现在无法解密文件,因为证书无法验证,更糟糕的了。确保它经常备份并且高度可用
责任——取决于你想用它们做什么,一些 C 级高管可能会认为他们在 VeriSign 证书上花的所有钱都是浪费,因为他们一直在很好地使用你的证书。如果你的证书被泄露,而且它是 VeriSign 证书(我只是将 VeriSign 用作任何第三方 CA 的占位符),那么很容易证明这不是你的错。如果你拥有 CA……那么你的下一次 IT 体验可能是在您选择的快餐店运行计算机收银机。
无法使用外部证书 - 公开 CA 并非不可能,但没有人会信任您公司的证书。虽然这不是什么大问题,但维护 2 个单独的证书维护任务(到期时间等)的开销会稍微大一些。您还可以考虑购买受信任的根证书
哦,如果你需要 EV 证书,那么你正在升级到 Windows 2008
尽管看起来似乎还有更多缺点,但其中许多只是需要注意的事情,而不是真正的负面指标。
答案3
对于一组内部服务器,您可以根据需要创建证书,并且比使用外部 CA 更快。您需要一点经验。像 tinyca 这样的工具可以相当轻松地创建 CA。对于公开访问的服务器,您需要来自外部来源的证书。
用于加密流量的证书通常是内部生成的。如果您只允许来自 CA 的连接,您就不必担心有人会从您的外部 CA 获取证书并加入您的网络。在这种情况下,成本较低的解决方案可能更安全。